根据近年公安机关公布的典型案例,随着大数据技术的广泛运用,泄露个人信息的犯罪主体已经不再局限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,而是呈现大众化的发展趋势。2012年5月16日,江苏南京市公安局玄武分局网安大队民警发现,有人在网上发布信息,雇人从邮局取挂号信,每封酬谢200元。经查发现,犯罪嫌疑人通过办理假身份证冒领受害人申办的信用卡挂号信,并在网上购买受害人的个人征信记录(包括个人身份信息及银行信息)等资料,激活信用卡,刷卡套现牟利。2015年5月17日,南京市公安机关抓获犯罪嫌疑人许某等5名犯罪嫌疑人,其作案地点涉及湖南、天津、山东、江苏、浙江等地[尾注2]。
二、目前我国对个人信息及网络安全的法律保护
(一)《中华人民共和国刑法修正案(九)》出台前的法律保护机制
其中,《决定》和《通知》专门针对个人信息及网络安全问题,规定了公民个人信息的范围,实施侵权及犯罪行为的主体,以及相应的民事责任、行政处罚和刑事制裁。2015年7月6日,经第十二届全国人大常委会第十五次会议审议公布了《中华人民共和国网络安全法(草案)》(以下简称“草案”),该草案系我国关于网络安全管理的首部统一性、专门性立法,从立法原则,概念定义,网络运行安全、数据安全及信息安全的管理和维护,以及预警应急机制和法律责任等方面分别进行了细化规定。
1、加强了对公民个人信息保护的力度
(1)扩大犯罪主体范围
根据《刑法》第253条原条文规定,出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体是特殊主体(仅限于国家机关、金融、电信、交通、教育、医疗等单位及其工作人员)。《修正案》将上述两罪名的犯罪主体扩大到一般主体及单位,即凡是达到法定形式责任年龄的个人及任何单位均可以本罪追究刑事责任。
(2)弥补追责空白
根据《刑法》对出售、非法提供公民个人信息罪的规定,其仅就个人或者单位履行职责或者提供服务两种途径获取信息的方式进行规制。但是,对于通过履行职责或者提供服务以外的其他方式合法地获得公民个人信息后,又将该信息出售、非法提供给他行为,现行《刑法》并未做出具体规范。《修正案》在原《刑法》基础上取消了对个人信息获取方式上的限制,规定无论以何种方式取得,只要违法国家规定,向他人出售或提供公民个人信息,情节严重的,既构成犯罪。而对于将履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,则规定为从重处罚的情形。该等修订进一步扩大了对侵犯公民个人信息行为的打击范围。
(3)加重处罚力度
原《刑法》对于出售、非法提供公民个人信息罪和非法获取公民个人信息罪的处罚,规定为三年以下有期徒刑或者拘役,并处或者单处罚金。而《修正案》增加了量刑级别,即规定情节特别严重的,处三年以上七年以下有期徒刑,并处罚金,从而将最高刑期从三年提高至七年。
2、加强了对网络信息安全维护的力度
(1)增加了网络服务提供者的犯罪行为
《修正案》针对利用网络信息犯罪增加了一些网络服务提供者不履行网络安全管理义务,致使用户信息泄露并造成严重后果的情况,并明确了其刑事责任。《修正案》规定,网络服务提供者不履行网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,致使违法信息大量传播的,致使用户信息泄露,造成严重后果的,或者致使刑事犯罪证据灭失,严重妨害司法机关追究犯罪的,追究刑事责任[尾注4]。
(2)扩展了网络实施犯罪的类型
三、我国网络安全立法趋势
近几年,随着网络技术的不断发展,云计算、大数据等新业务的广泛运用,以及突发事件(例如美国人事局数据泄露事件、棱镜门、携程宕机、支付宝断网)的影响,各国网络安全领域的立法呈现集中爆发之势。
面对日益严峻复杂的国内外网络安全形势,美国、欧盟、日本等主要国家和地区高度重视网络安全立法,一方面加快出台网络安全基本法,另一方面强化政府信息安全、信息监控与内容安全、数据保护、关键基础设施保护等多方面立法,为网络安全保护各项措施的具体实施提供法律依据。